Trust Lifecycle Manager 02-08-2024

Equifax のデータ侵害から得られる教訓

証明書の可視化が欠如していたばかりに、
76 日間にわたって機密情報が流失した経緯
Robyn Weisman
Equifax Blog Hero Image

証明書ライフサイクル管理については、なにかと話題になるものです。ところが 2017 年には、たった 1 つの電子証明書の期限が切れていただけで、いち企業が、しかも企業全体が大規模な被害を受ける事例が、ある大手調査会社で発生しました。

Equifax におけるデータ侵害

すべての発端は、Equifax がネットワーク追跡デバイスで使われている電子証明書の期限切れを発見できなかったことにあります。期限が切れていることに気づかなかったのですから、交換もしていませんでした。その結果、その結果、攻撃者がネットワークに侵入するのを防げていたかもしれない必須の脆弱性スキャンを、問題のネットワークデバイスは実行できなかったのです。

実際、ネットワークへの侵入が発生し、個人を識別できる情報(PII)が 76 日間にわたって複数のデータベースから盗み出されてしまいました。盗まれた PII のなかには、社会保障番号、運転免許証、クレジットカード番号といった機密性の高いデータも含まれていました。被害を受けた 1 億 5000 万以上の米国人ユーザーが、Equifax によって保護されているものと信頼していた情報です。

Equifax のデータ侵害事件は、近年まれに見る大惨事となりました。これに伴って同社が支払ったコストは、FTC の罰金だけで 5 億 7500 万ドルにのぼりましたが、同社の評価に対するダメージは計り知れません。

では、いったい何が問題だったのでしょうか。Equifax の失敗から、他社は何を教訓にできるのでしょうか。

致命的な失敗: 一元的な可視化の欠如

Equifax が証明書の期限切れを放置したという事実は、それだけでも大きな問題です。しかし、それ以上に衝撃的だったことがあります。問題のネットワーク追跡デバイスの証明書は、実際にシステムが侵入を受けた時点より 10 か月も前に失効していたのです。

一般的な消費者から見ると(そして、上院議員から見ると)、同社がこれほど重大なセキュリティ侵害を許してしまった経緯は実に不可解でした。しかし、PKI の保護に詳しい者からすると、答えは明白です。同社が電子証明書のインベントリを一元的に可視化できていなかったところで、もう問題は始まっていたのです。

電子証明書の管理責任は従来、PKI 管理者の肩にかかっていました。PKI 管理者は、組織全体の全証明書を監視すべく全力を尽くしていますが、そこで使うものといえば、スプレッドシートや内製のスクリプトなど、人為的なエラーの起こりやすいポイントソリューションばかりです。

こうしたツールのどれにも、個々の事業部門が所有する証明書を発見したり、インベントリ化したりする機能はありません。また、各事業部門の証明書所有者は、証明書が企業のポリシーやセキュリティ標準に準拠しているかどうかを確認することの重要性を理解していない場合も少なくありません。

Equifax でデータ侵害が発生するまでの経緯をひとつひとつ分析することはできませんが、それなりに根拠のある推測は立てられます。証明書有効期限を知らせるアラートが、すでに退職した管理者に送られていたというような、基本的なことかもしれません。あるいは、会社が承認していない認証局(CA)から証明書を調達していた可能性もあります。

間違いなく明らかなのは、このデータ侵害が壊滅的だったこと、そして証明書管理の不備で重大な影響を受けているのは、決して Equifax だけではないということです。

PKI 関連の障害は増加の一途

Equifax は、証明書関連の障害がもたらす被害を示す最も壮大な事例かもしれませんが、決して特異な例ということではありません。ほかにも、最近では以下のような例が公表されています。

こうした事例も、毎年発生している障害のごく一部にすぎません。デジサートが実施した 2021 年の調査では、企業の 3 分の 2 が前年度に少なくとも 1 回、PKI 関連サービスで停止を経験したと回答しており、過去 6 か月間に 5 ~ 6 回の PKI 関連停止を経験したという回答も 25% にのぼりました。

これは持続的で一般的な問題であり、電子証明書の数が急速に増加するにつれて悪化の一途をたどっています。TLS/SSL 証明書は、ウェブサイトやウェブサーバーから、何百ものマイクロサービスを組み込んだコンテナ型アプリケーションまで、あらゆるものの認証に使われるようになっています。平均的な Global 2000 企業が抱える証明書の数は、今でもすでに数十万単位に達しているので、手作業だけで、あとは運を天に任せるようでは、証明書ライフサイクル管理に関して信頼性の高いアプローチはとうてい望めません。

NIST に聞く: 今こそ可視化を一元化するとき

2020 年 6 月、米国商務省標準技術研究所(NIST)は特別文書 1800-16: Securing Web Transactions, TLS Server Certificate Management(SP 1800-16)を発表しました。このフレームワークは、そのほとんどがコロナ禍に伴ってデジタルトランスフォーメーションの取り組みが加速するより前に書かれたもので、組織は「環境のあらゆる TLS サーバー証明書で明確な可視性を確立し維持する」必要があると強調し、以下のような証明書ライフサイクル管理の基本タスクを実行できるようにしています。

  • 脆弱なアルゴリズムの使用など、潜在的な脆弱性を発見する
  • 期限切れの証明書を特定して交換する。
  • 規制ガイドラインや企業ポリシーに必ず準拠する。

重要な TLS サーバー証明書を見落とすリスクを最小限に抑えるために、一元的な証明書インベントリを運用するよう NIST は推奨しています。そうなると、ひとつの疑問が浮かびます。Equifax に先見の明があり、DigiCert® Trust Lifecycle Manager のように、ネットワーク全体を可視化できる効果的な証明書ライフサイクル管理(CLM)ソリューションを導入していたら、どうだったでしょうか。

この疑問に対する答えはわかっています。証明書の有効期限が近づいていることを警告するアラートメッセージが出ていたはずです。そうすれば同社も、攻撃者が実際に億単位のユーザーの機密情報に手を触れるずっと前に、証明書を更新できていたでしょう。

デジタルトラストに関する最新情報

データセキュリティコードサイニング証明書、証明書ライフサイクル管理などのトピックについて詳細をご希望ですか? 記事を見逃さないようにデジサートのブログを参照してください。

UP NEXT
DNS Trust Manager

デジタルトラストで DNS が果たす役割についての考察と予測

5 Min